Cisco Security MARS インストレーション セットアップ ガイド Release 4.x
トラブルシューティング
トラブルシューティング
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

トラブルシューティング

ライセンス キーが見つからない

自分のパスワードを回復できない

MARSにデバイスを再追加できない

MARSにデバイスを追加できない

MARSのデバイス名を変更できない

サポート情報の収集

ネットワークがダウンした場合の GUI へのアクセス

バックエンド サービスおよびプロセスのリスト

エラー メッセージ

トラブルシューティング

この付録には、MARS アプライアンスのトラブルシューティングに役立つ情報が記載されています。サポート対象の各MARS アプライアンスについて、使用可能なサービスおよびエラー メッセージをリストするとともに、これらのサービスのデバッグが必要な場合、シスコのサポートに提供するサポート情報の収集方法および送信方法について説明しています。また、失ったライセンス キーの回復、およびコンソール接続による HTML インターフェイスの実行についての注意事項も記載されています。ここで説明する内容は、次のとおりです。

「ライセンス キーが見つからない」

「自分のパスワードを回復できない」

「MARSにデバイスを再追加できない」

「MARSにデバイスを追加できない」

「MARSのデバイス名を変更できない」

「サポート情報の収集」

「ネットワークがダウンした場合の GUI へのアクセス」

「バックエンド サービスおよびプロセスのリスト」

「エラー メッセージ」

ライセンス キーが見つからない

MARS アプライアンスの新モデルでは、ライセンス キーおよびシリアル番号は、いずれもアプライアンスの外側に記載されています。ライセンス キーおよびシリアル番号の記載位置の詳細は、「ライセンス キーの位置」を参照してください。

ライセンス キーを判別できない場合には、シスコのライセンス担当 licensing@cisco.com に、E メールで次の情報を通知してください。

お客様のお名前

MARS アプライアンスのシリアル番号

自分のパスワードを回復できない

「管理パスワードを失った場合」を参照してください。

MARSにデバイスを再追加できない

MARSにデバイスを再追加できない場合には、そのデバイスがすでに特定のキャパシティまたは他のキャパシティに定義されている可能性があります。

MARSにデバイスを追加できない

MARSにデバイスを追加できない場合、そのデバイスが、トポロジー検出処理中に定義されている可能性があります。デバイスを一度削除してから、追加してください。

MARSのデバイス名を変更できない

デバイス名を直接変更することはできません。デバイスを一度削除してから、再追加する必要があります。

サポート情報の収集

アプライアンスが稼働していれば、アプライアンス上の問題を診断するのに役立つログ情報を、シスコシステムズのサポートに提供できます。サポート情報を収集して送信する場合、2 つの方法があります。

CLI で、 pnlog mailto コマンドを使用します。このコマンドの詳細は、「pnlog」を参照してください。

GUI で、 Help > Feedback オプションを使用します。

どちらの場合も、ご使用の SMTP サーバに到達できるネットワークにアプライアンスが接続され、サーバに E メールを送信できるように、アプライアンスが適切に設定されている必要があります。E メールのゲートウェイ設定は、 Admin > System Setup > Configuration Information ページ、またはpnlog mailto コマンドのコマンドライン オプションを使用して指定できます。

pnlog mailto コマンドを使用すると、次の情報が、error-logs.tar.gz という名前のファイルにパッケージ化されて配信されます。

C++ プロセス ログ

システム ログ

Java(GUI)ログ

アップグレード ログ

現在のバージョン

現在のモデル

実行プロセスのリスト

error-logs.tar.gz ファイルには、パスワードまたはネットワーク情報は含まれません。

ネットワークがダウンした場合の GUI へのアクセス

コンソール接続では、アプライアンスの基本的なネットワーク設定を実行できますが、アプライアンス設定の大半は GUI で実行する必要があります。ネットワーク上のホストからアプライアンスに接続できない場合には、アプライアンスのイーサネット ポートの 1 つにクロス ケーブルを接続し、コンピュータを使用して GUI にアクセスできます。

コンソール接続により GUI にアクセスする手順は、次のとおりです。


ステップ 1 アプライアンスの実行中に、コンピュータのイーサネット ポートに Cat 5 クロス ケーブルを接続します。

ステップ 2 Cat 5 クロス ケーブルを、MARS アプライアンスの eth1 ポートに接続します。「ハードウェアの概要」を参照してください。

ステップ 3 コンピュータのローカル TCP/IP 設定が、MARS アプライアンスのイーサネット インターフェイスの 1 つと同じネットワーク上になるように設定します。アプライアンスがインターフェイス上で使用している IP アドレスと異なる IP アドレスを選択します。

「eth0 インターフェイスの IP アドレスおよびデフォルト ゲートウェイの指定」および「eth1 インターフェイスの IP アドレスおよびデフォルト ゲートウェイの指定」に基づいて、コンソール接続を使用してインターフェイスを設定した場合には、eth1 にインターフェイス アドレスを指定している可能性があります。ただし、eth1 の出荷時のデフォルト設定は、192.168.0.101 です。


ヒント eth0 を使用することもできますが、「eth0 インターフェイスの IP アドレスおよびデフォルト ゲートウェイの指定」で指定したネットワーク設定と併用できるアドレスをコンピュータに指定する必要があります。



 

バックエンド サービスおよびプロセスのリスト

コマンドラインに pnstatus を入力するか、 Admin > System Maintenance > View Log Files を選択してアプライアンスが生成したバックエンド システム ログを表示することにより、次のサービスおよびプロセスのステータスを確認できます。 表B-1 に、サービスとプロセスのリスト、およびMARSでの個々の機能を示します。

 

表B-1 MARS のサービスおよびプロセス

サービス/プロセス名
説明

pnparser

pnparser サービスは、レポーティング デバイスによって生成されたイベント、SNMP MIB、およびトラフィック フロー ログを受信し、解析します。また、ネットワーク トポロジー情報を使用して、フローをセッショナイズします。セッショナイズ プロセスでは、小さなタイム フレーム内に着信したフローおよび他のイベントが、同じレイヤ 7 セッションにグループ化されます。ネットワーク トポロジー情報は、NAT 処理されたフローの標準化に使用されます。同じセッションに属すイベントには、同じセッション ID が割り当てられます。

ANOMALY サービス

ANOMALY サービスは、各インターフェイスの帯域幅、各インターフェイスのエラー、およびファイアウォール接続など、SNMP MIB から取得したフローおよび他の変数の統計的な分析を実行します。このサービスにより、データ内の統計的に重要な異常が検出されます。異常が検出されると、ANOMALY サービスにより、MARSが生成した「anomaly detected」イベントがシステムに挿入されます。

LOGIC サービス

LOGIC サービスは、検査ルールのセットに基づいて、解析したイベントを関連付けます。検査ルールは、組み込み(システム定義)ルールまたはユーザが定義したルールです。関連付けのルールに適合すると、LOGIC サービスはルールに適合するイベント セットを含むインシデントを作成し、さらに分析するために、インシデントを process_posfire_srv に転送します。

process_postfire_srv

process_postfire_srv サービスは、LOGIC サービスにより生成されたインシデントを分析し、フォールス ポジティブかどうかを判別し、潜在的な攻撃とみなされるインシデントを識別し、管理者に通知します。このサービスは、次の情報源からの情報を分析します。

組み込みイベントの脆弱性データ

管理者から取得したホスト情報、または process_postfire_srv が判断した攻撃されたホストの情報

脆弱性スキャナの結果によるホストの脆弱性情報

ネットワーク トポロジー パスおよびセッショナイズされたイベント データ

LOADER サービス

LOADER サービスは、イベントおよびインシデントをデータベースに効率的に保存し、アーカイブとして保存するためにデータを圧縮します。

process_inlinerep_srv

INLINE REPORT サービスは、特定のレポートのメモリ内計算を実行し、これらのレポートを処理するデータベース サーバの大型の I/O ペナルティを防ぎます。

discover

DISCOVERY サービスは、ファイアウォールおよびルータから、レイヤ 3 / レイヤ 2 ネットワーク トポロジー、NAT および ACL 設定を検出します。このサービスは、検出した情報を解析し、ベンダーおよびデバイスに依存しない統一フォームで、情報をデータベースに保存します。

graphgen

GRAPHGEN サービスは、Web ブラウザに表示するネットワーク トポロジー グラフ、ホットスポット トポロジー グラフ、およびトポロジー攻撃パスを作成します。また、このサービスは、攻撃パスおよび攻撃パス上の全デバイスに関する派生知識に基づいて、ベンダーおよびデバイスに特定の脅威軽減コマンドを生成します。

GUI サービス

GUI サービスは、MARSの HTML インターフェイスとなる Web ページを表示するためのコードを提供します。このサービスは、JBOSS/Tomcat アプリケーション サーバ フレームワークを使用します。

REPORTGEN サービス

REPORTGEN サービスは、ユーザ用のレポートを生成して、送信します。このサービスは、JBOSS/Tomcat アプリケーション サーバ フレームワークを使用します。

GC Exchange サービス

Global ControllerExchange サービスは、Global Controllerと通信し、2 つのシステム間の情報を同期化します。同期化に必要な情報:

MARSアプライアンスにより検出されたネットワーク トポロジー

MARSアプライアンスにより生成されたレポート結果

MARSアプライアンスで生成されたインシデント

Global Controllerで作成されたグローバル オブジェクト(ネットワーク、サービス、ルール、レポート、クエリーなど)

pnarchiver

pnarchiver サービスは、データベースに保存されているデータを、NFS を使用してオフライン ストアにアーカイブします。コンフィギュレーション データ、ダイナミックなイベントおよびインシデント データの両方がアーカイブされます。アーカイブは、システムの回復および犯罪分析の両方に使用されます。

pndbpurger

pndbpurger サービスは、新しいデータ用のスペースを作るために、データベースから古いデータを削除します。

superV

superV サービスは、各種のMARSバックエンド プロセスのソフトウェア監視機能として動作します。各種のサービスおよび一致条件によるリソース使用状況をモニタし、必要に応じて適切なサービスを再開します。superV サービスはまた MARSプロセスが相互にメッセージを送信できるように、イベント バスを提供します。

device_monitor

PNMONITOR は、JBOSS および SUPERV のソフトウェア監視機能として動作します。PNMONITOR サービスの状態は、オペレーティング システムによって監視されます。

pnids40_srv

このバックエンド プロセスは、RDEP を使用して、IDS 4.0 デバイスからアラートを取得します。取得したアラートは、処理されて pnparser に渡され、そこから他のイベントと同様にシステムに入力されます。

pnids50_srv

このバックエンド プロセスは、SDEE を使用して、IDS 5.0 デバイスからアラートを取得します。取得したアラートは、処理されて pnparser に渡され、そこから他のイベントと同様にシステムに入力されます。

pniosips_srv

このバックエンド プロセスは、SDEE を使用して、IOS IPS デバイスからアラートを取得します。取得したアラートは、処理されて pnparser に渡され、そこから他のイベントと同様にシステムに入力されます。

device_monitor

このプロセスは、SNMP を使用してレポーティング デバイス上のリソース使用状況をモニタし、使用率が定義されたスレッシュホールドを越えると、デバイス異常(MARSイベント)を生成します。モニタされるリソースは、CPU、メモリ、接続数、および使用帯域幅です。

DbIncidentLoaderSrv

このプロセスは、process_postfire_srv によりフォールス ポジティブ分析が実行されたあと、関連インシデントのイベント/セッション データをデータベースに保存します。

pnesloader

このプロセスは、pnparser により回復データの解析およびセッショナイズが実行されたあと、イベントおよびセッション データをデータベースに保存します。

process_event_srv

このプロセスは、ルール処理エンジンです。ルールをコンパイルし、イベントを受信し、起動する必要があるインシデントを計算して、通知およびフォールス ポジティブ分析のために、これらの情報を process_postfire_srv に転送します。

process_query_srv

このプロセスは、複数行のクエリー(X のあとに Y が続くなど、複数行のルールに見えるクエリー)の結果を計算します。

エラー メッセージ

"Error ./pnarchiver Thread 2051:PN-0102:SQL error:ORA-01005:null password given; logon denied"

問題 :NFS サーバへのアーカイブ実行時の問題です。サーバ上にアーカイブ用のディレクトリが適切に作成されていますが、これらのディレクトリに保存できません。

対処方法 :MARSと Windows 2003 サーバ上の CygWin NFS サーバとの間にインターオペラビリティの問題があります。このインターオペラビリティの問題に対処するには、NFS サーバを、Microsoft Windows Services for Unix に交換します。詳細は、「Windows 上での NFS サーバの設定」を参照してください。

Page cannot be found.

問題 :HTML インターフェイスにログインしたときに、「Page cannot be found(ページが見つかりません)」エラーが発生し、アドレス バーに https://< IP_address >/j_security_check の URL が表示されます。

対処方法 :ブラウザの MSN Search Toolbar がイネーブルの場合、MARSにログインする前にディセーブルにする必要があります。ディセーブルにするには、ツールバーを右クリックし、MSN Search Toolbar の選択を解除します。または、単純に URL ストリングの最後の j_security_check を削除して、Enter を押します。

Hangs on "Creating Oracle database"

問題 :Recovery DVD の使用中に、システムが「Creating Oracle Database(Oracle データベースを作成中」の状態のままになります。

対処方法 :このエラーは、再起動後、アプライアンスがネットワークに接続されている場合に発生します。イメージが適用されると、システムは、ネットワーク上で出荷時のデフォルト アドレスの検出を試みる状態になります。

"Status:PN-0002:No message for PN-0216"

問題 :HTML インターフェイスでデータ アーカイブを設定したあと、「Status: PN-0002: No message for PN-0216」メッセージが表示されます。

対処方法 :このエラーは、データ アーカイブ設定に不正な IP アドレスまたはディレクトリ パスを入力した場合に発生します。